사이버 무기 판도라 상자가 열렸다.
해킹 조직 셰도브로커는 미국 정보기관 국가안보부(NSA)를 해킹해 사이버 무기로 사용했던 취약점을 인터넷에 공개했다. 지난해 이탈리아 해킹팀이 사용하다 공개된 보안취약점보다 훨씬 위험도가 높은 내용이다. 해커들은 해당 취약점을 이용해 사이버 공격을 시작했다.
신속한 보안 업데이트를 수행해야 피해를 최소화할 수 있다. 최초 공개 당시 보안 방법이 없는 제로데이였는데 마이크로소프트가 패치를 내놨다.
셰도브로커는 최근 공격도구를 내려받을 수 있는 링크와 비밀번호를 공개했다. 공개된 파일 중에 윈도 해킹도구가 포함됐다. 윈도 OS에서 폴더와 파일 등을 공유하기 위해 사용되는 메시지 형식 SMB(Server Message Block) 취약점을 이용한 공격 도구 사용 영상이 공개됐다.
보안 전문가들은 SMB 취약점 위험도를 최상위 등급으로 봤다. 다른 취약점은 웹 브라우저나 프로그램을 설치해야 하는데 SMB는 프로토콜 취약점이어서 서버 인터넷주소(IP)만 알면 해당 시스템을 장악하기 때문이다. 해커는 해당 취약점을 이용해 약 120초 만에 윈도 서버를 점령한다.
한국인터넷진흥원(KISA, 원장 백기승)은 마이크로소프트 윈도 공격 도구 공개에 따른 보안 업데이트를 권고했다. 이번에 공개된 취약점은 윈도 최신 버전에서는 작동하지 않지만 구형 OS를 쓰는 곳은 취약하다. KISA는 MS에서 보안 업데이트 지원을 중단한 윈도 비스타 이하 버전을 윈도7 이상 OS로 업그레이드하고 최신 패치를 적용하라고 권고했다. 패치가 나왔다고 당장 적용할 수 없어 당분간 위험은 존재한다. 기업은 패치가 나오면 안정성 시험을 거쳐 배포하는데 3개월 정도 소요된다.
KISA는 윈도 최신 보안 패치가 불가능한 사용자는 네트워크나 윈도 방화벽을 이용해 SMB 포트를 차단하라고 설명했다. OS설정(윈도 비스타, 윈도 서버 2008이상)에서 모든 버전 SMB프로토콜을 비활성화한다.
이미 사이버 범죄자는 재빠르게 해당 취약점을 활용해 공격을 시작했다. 해당 취약점으로 윈도 서버 2008를 공격해 파일을 암호화하는 랜섬웨어가 등장했다. 웹 서버에서 운영되는 'CGI' 파일을 비롯해 이미지, 문서 등이 암호화된다. 암호화한 파일에는 '.aes_ni_0day' 확장자를 추가한다. 랜섬웨어는 256비트 키를 갖는 AES 암호 알고리즘으로 파일을 암호화한다.
최상명 하우리 CERT실장은 “마이크로소프트가 해당 취약점 보안 패치를 내놨다”면서 “서버는 안전성을 이유로 보안 패치를 늦게 하는 경우가 많은데 검토 후 최대한 빨리 패치해야 한다”고 지적했다. 최 실장은 “셰도브로커가 공개한 SMB 취약점은 윈도 출시 이래 3번째 나온 위험도가 높은 내용”이라면서 “세계 윈도 시스템을 장악하는 가공할 무기”라고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com
